Perisian Hasad PathWiper
Satu jenis perisian hasad pemusnah baharu, yang digelar PathWiper, telah dikenal pasti dalam serangan siber yang disasarkan yang bertujuan untuk infrastruktur kritikal di Ukraine. Objektif utamanya adalah jelas: untuk mengganggu dan melumpuhkan keupayaan operasi dalam negara.
Isi kandungan
Penggunaan Senyap melalui Alat Sah
Penyerang menggunakan muatan PathWiper menggunakan alat pentadbiran titik akhir yang sah. Kaedah penyampaian ini menunjukkan bahawa pelaku ancaman telah pun mencapai akses pentadbiran kepada sistem yang disasarkan melalui kompromi sebelumnya, menonjolkan kecanggihan dan perancangan di sebalik serangan itu.
Atribusi: Musuh Biasa Kembali
Penyelidik keselamatan siber yang menyiasat insiden itu telah mengaitkan serangan itu dengan keyakinan tinggi kepada ancaman berterusan maju (APT) berkaitan Rusia. Taktik, teknik dan prosedur (TTP) yang diperhatikan hampir sama dengan Sandworm, kumpulan ancaman yang diketahui sebelum ini bertanggungjawab untuk menggunakan HermeticWiper di Ukraine.
PathWiper: Kemungkinan Pengganti HermeticWiper
PathWiper berkongsi persamaan yang ketara dengan HermeticWiper, menunjukkan bahawa ia mungkin merupakan evolusi perisian hasad yang lebih awal itu. Kedua-duanya bertujuan untuk menimbulkan kerosakan maksimum dengan merosakkan data sistem kritikal, dan pertindihan dalam tingkah laku membayangkan penglibatan kelompok ancaman yang sama atau berkait rapat.
Rantaian Serangan Berbilang Peringkat
Malware dilaksanakan melalui proses berbilang peringkat:
- Fail kelompok Windows mencetuskan VBScript yang berniat jahat (uacinstall.vbs).
- Skrip menjatuhkan dan melaksanakan muatan teras (sha256sum.exe), menyamar untuk menyerupai alat pentadbiran yang sah untuk mengelak pengesanan.
Penghitungan Pemacu Lanjutan dan Sabotaj Kelantangan
Tidak seperti HermeticWiper, yang memfokuskan pada penghitungan pemacu fizikal, PathWiper melangkah lebih jauh dengan mengenal pasti semua pemacu yang disambungkan secara pemrograman, termasuk setempat, rangkaian dan volum yang diputuskan. Ia kemudiannya memanfaatkan API Windows untuk mengurangkan jumlah ini sebagai persediaan untuk sabotaj.
Perisian berniat jahat menghasilkan benang untuk setiap volum untuk menulis ganti struktur NTFS yang penting, dengan berkesan menjadikan sistem tidak boleh beroperasi.
Pemusnahan Sasaran Fail Sistem Teras
Antara komponen sistem PathWiper yang rosak ialah:
- MBR (Master Boot Record): Mengandungi pemuat but dan jadual partition.
- $MFT (Jadual Fail Induk): Mengekalkan indeks semua fail dan direktori.
- $LogFile: Menjejaki perubahan untuk integriti dan pemulihan.
- $Boot: Menyimpan maklumat sektor but dan sistem fail.
Selain itu, lima fail metadata NTFS kritikal lain ditimpa dengan bait rawak, seterusnya memastikan sistem yang terjejas tidak dapat dipulihkan.
Tiada Tebusan, Tiada Tuntutan - Hanya Kemusnahan
Terutama, serangan yang melibatkan PathWiper tidak termasuk sebarang bentuk pemerasan atau permintaan tebusan. Ketiadaan ini mengesahkan objektif utama: gangguan total operasi, bukannya keuntungan kewangan.
Pengelap: Alat Berulang dalam Peperangan Hibrid
Sejak bermulanya perang di Ukraine, pengelap data telah menjadi ciri utama operasi siber Rusia. Alat ini telah digunakan dalam berbilang kempen dengan kesan yang dahsyat. Pengelap terkenal lain yang digunakan dalam kempen serangan yang dikesan termasuk: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain dan banyak lagi.
Setiap daripada ini telah memainkan peranan dalam strategi yang lebih luas untuk menjejaskan kestabilan infrastruktur Ukraine melalui peperangan siber.
Kesimpulan: PathWiper Menandakan Evolusi Berbahaya
PathWiper mencontohkan peningkatan berterusan dalam alat siber yang merosakkan yang digunakan terhadap Ukraine. Dengan teknik pengelakan lanjutan, sabotaj peringkat sistem yang mendalam, dan atribusi yang menunjuk kepada APT Rusia yang diketahui, ia mewakili ancaman ketara dalam landskap konflik siber moden.
